企业内部审计存在的问题与对策

孙志远

（中石化石油工程设计有限公司 山东东营 257026）

当前，随着经济的发展和企业的进步，企业不同利益主体和法人实体之间分化、调整、重组，逐渐触及核心区。企业内部控制面对的风险也逐步加大，由此带来企业内部审计监督的对象、内容、目标等都发生了新的变化。企业内部审计作为防范内部管理风险的工具，越来越受到企业的重视。客观分析企业内部审计面临的问题，探索制度建设与技术改进的方案，对于企业内部风险控制和企业长远发展意义重大。本文结合企业内部审计发展现状与问题，提出多层次宣传交流提高认识、两层面审计评价指标体系建设和多方面审计技术改进，优化企业内部审计的策略。

一、企业内部审计发展现状

目前，我国企业内部审计工作总体上以财务收支审计为主，经济责任（离任）审计等为辅。由于企业普遍存在内审人员不足的现实情况，所以能真正开展内部控制风险审计工作的企业占比非常低。然而，当下企业发展与国家战略规划政策息息相关，加之国家“双碳减排”及新能源政策的落地，对企业规范经营和风险防控提出了更高的要求。因此，企业充分、科学地开展内部审计，降低和防范内部风险尤为重要。

近期，中国内部审计协会发布的《内部审计具体准则第16号——风险管理审计》第四条明确规定：“风险管理是组织内部控制的基本组成部分，内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”，从制度上为我国企业的内部控制审计提供了依据。尽管如此，在审计实践中，企业内部审计的水平参差不齐，常常仅能在经济责任和财务收支审计报告中，作为对企业的经营情况论述的一个部分，难以充分发挥企业内部风险防控的作用，没有把内部控制审计作为一种独立的经济评价手段来促进企业改善经营管理、提高经营效益、防控重大风险。

二、企业内部审计存在的问题

（一）管理层对企业内部审计重要性的模糊认识是问题之本

现阶段，大多数企业管理层对内部审计职责和功能的认识仍然停留在查错纠弊的层次上，或者将内部审计工作与纪检监察工作等同起来，将其定位在查处违法违纪违规上。企业内部审计的工作目标定位模糊，对其在企业管理中的作用认识不清，是企业内部审计得不到管理层重视的根本原因。企业内部审计的主体是内部审计机构及其人员，而内部审计机构的设置模式直接影响其作用的发挥。部分企业存在着类似的情况，内审机构一度撤销或合并，产生的后果是内部审计人员配备不足，有的企业甚至没有配备专职内部审计人员。没有内审人员的企业，内部控制审计长期性、日常性、持续性跟踪评价等审计职能就无从发挥，促使企业改善经营管理，实现保值增值、风险防控的目标就无法达到。

（二）企业内部审计评价指标体系不完善影响企业内部审计的效果

内部控制风险审计的前提是要有规范的指标评价体系。如果指标体系不科学、不完备，这样的内部控制风险审计既不严谨，也不客观，难以被企业采用。企业内部审计评价是依据中国内部审计协会《企业内部控制基本规范》和《企业内部审计评价业务规范指引》等相关要求，对企业某一阶段的内部控制有效性进行审计评价。通过检查企业的内部环境和重要业务流程控制的设计及执行情况，深入评价企业内部控制的健全性和有效性，指出内部控制设计和执行过程中存在的问题和不足，提出整改意见和建议，提高经营效率和效果，推动企业内部控制及风险管控水平的提高。企业若连评价指标都没有，那么风险管控之根也就没有，企业内部审计就成为无本之木，何谈企业之树常青？有的企业指标体系不完善，缺少相关业务层面的控制指标，或者相关控制点设置无效，这都降低了企业内部审计的功效。

（三）企业内部审计计划不科学，实施方法难以满足实际需求

目前，大多数企业的内审机构在制订审计计划时，往往只是根据管理者指示或程序需要，粗略地安排审计项目。另外，企业内部审计在实施过程中，需广泛运用管理评审技术、计算机信息技术等，但目前大多数内部审计部门在进行企业内部审计时，以查账为主要手段，辅以财务分析和简单的经营分析，对穿行测试和符合性测试等内部控制风险审计必备手段和计算机辅助审计较少应用。因此，企业对于内部风险管控等问题涉及并不深入，造成审计分析问题层次浅，难以更好为企业的经营管理提供有价值的信息，内部控制审计的效果远没有发挥出来。

三、企业内部审计改进思路与对策

（一）加强宣传贯彻，保障内部审计的重要性和严肃性

首先，从内部审计部门的角度树立企业内控风险管理理念和意识。内审部门要加强与管理层的交流，通过内部审计人员提出的完善管理、深化治理、规避风险等专业化建议，让企业管理层认识到企业内部审计的价值，机构缺失及人员匮乏将严重制约内部审计的开展。当企业内部风险防控审计不得不依赖于外部审计力量时，就会失去企业内部审计在防范风险、增加企业价值等方面的作用，管理层对企业内部审计的模糊认识就会得到转变。其次，上级审计管理部门适时对企业内审机构的设立，提出指导性意见，帮助企业提升对企业内部审计的认识。企业内部审计部门发挥应有的作用，经上传下达和沟通对接，促使内部审计机构设立，为内审工作质量进一步提高提供有效保障，从而促进企业内部风险防控审计工作的顺利开展。

（二）健全评价体系，增强内部审计的科学性和有效性

内部控制审计评价标准是衡量、考核、评价审计对象绩效高低、优劣的尺度，是提出审计建议，做出审计结论的依据。完善企业内部控制制度、权限指引和审计相关规范，既是确保企业内部审计有效开展的重要条件，也有利于增强企业内部风险防控。

内部控制审计评价要坚持以风险防控为导向，以查找内部控制缺陷为重点，对企业的相关重点业务流程内部控制设计和执行的有效性进行检查评价。

近年来，炎症在NAFLD疾病进展中的作用越来越受到重视，对其机制的研究也越来越多。依赖于NLRPs炎症小体激活的细胞焦亡也是这些年的研究热点，其引起的炎症应答也被认为是疾病进展的推动者。各类NLRPs影响NAFLD疾病进展的不同的分子机制还需我们进一步的探究。

1.企业层面控制审计评价

按照企业层面审计评价底稿的控制要求，结合单位风险偏好，从内部环境、风险评估、信息与沟通、内部监督四方面对企业层面控制情况进行审计评价。

（1）内部环境：重点关注领导班子分工是否明确合理，是否建立自上而下的权责分配体系并形成恰当的制衡和授权机制，是否按照不相容原则设立岗位或部门，是否按照总部要求和自身情况编制内部控制实施细则，是否以突出主业及增强核心竞争力为发展目标，提升核心竞争力方面是否建立了科学的人力资源管理制度和运行机制，企业可持续发展和内部保障机制能否有效执行；能否积极认真履行企业在扶危救贫、环境保护、安全生产、产品质量等方面的社会责任，是否有事故责任追究机制及整改防范措施，是否建立健全了反贪腐、反舞弊机制，对发生的经济案件能否及时、严格处理并制定相关防范举措，是否建立了科学的运行管理机制保障内部控制有效执行；内部审计组织机构设置是否健全、独立并有效发挥职能作用等。

（2）风险评估：重点关注是否建立持续有效的内部和外部风险信息搜集、识别机制；风险识别是否全面、持续并建立常态化机制，能否按照风险评估的程序、方法，评估风险等级制定合适的预防措施；控制措施是否落实到了责任部门和人员，能否达到及时跟踪和监控风险管理状况等。

（3）信息与沟通：重点关注是否建立高效的信息收集、筛选、整理、分析、传递机制，能否达到在单位内部、外部传递各项信息并做到公开透明，信息技术风险识别、评估、防范是否及时有效等。

（4）内部监督：重点关注内部控制监督机制是否有效发挥作用，内部控制测试和综合自查程序是否合理，发现问题的整改是否及时有效，内控缺陷认定是否真实、充分和客观等。

2.业务层面控制审计评价

因为企业业务层面控制较多，所以审计人员应以抽样审计作为主要审计手段，以企业管理层关心的重点领域、经营管理风险较大、近几年存在问题较多的业务流程为抽样目标，以检查流程的重要性为参考依据，如下列13个业务流程抽样标本所示：（1）资本支出管理业务流程；（2）货币资金管理业务流程；（3）生产运行业务流程；（4）存货管理业务流程；（5）油气资产业务流程；（6）固定资产修理业务流程；（7）天然气销售业务流程；（8）工程项目管理业务流程；（9）工程招标管理业务流程；（10）合同管理业务流程；（11）税务管理业务流程；（12）HSE管理业务流程；（13）产品质量管理业务流程。

3.设计及执行有效性审计评价

检查企业层面和业务流程相关控制点时，应从控制点设计和控制点执行两个方面进行审计评价，两方面全部有效的控制点视为“有效执行”，反之评价为“未执行”。

其一，评价设计有效性。主要是以风险为导向，以上级和总部下发的内控手册为标准，从内部控制五大目标出发，评价企业内部控制实施细则的设计是否有效，所设计的内部控制目标是否合理，能否保证实现，控制内部设计能否预防或发现财务报告方面的重大错报、误报并及时纠偏；能否遵循适用的法律法规，能否达到合理、保证资产的安全、完整性，防止企业资产流失；能否保证战略目标、经营目标的实现等。此外，审计人员还应检查内部控制设计的三个方面。

适当性。着重检查内部控制是否符合上级及总部要求，是否结合了自身的环境条件、业务范围、经营特点，是否通过风险识别和评估确定了主要风险控制措施，是否有利于实现既定控制目标，即适合企业原则是否达到。

经济性。着重检查内部控制是否符合内部控制基本要求，能否保证通过控制产生的效益大于所投入的成本，即费效比是否合适。

效率性。着重检查内部控制是否高效、科学，能否有助于企业提升自身生产经营的工作效率。另外，检查中要特别注意对于设计无效的控制点，不要再对其执行有效性进行检查评价，但需查找设计无效的原因和造成的实际影响，为企业今后的发展规避相关风险。

其二，评价执行有效性。是在评价内部控制设计有效性的基础上，对内部控制的实际执行情况进行检查和评价，主要验证控制措施是否得到了有效执行，是否实现了控制目标；规定的控制步骤或控制方法是否得到持续一致的运行等。审计评价过程应重点关注关键控制点，控制失效且风险较大的控制点。

通过对上述企业内部审计指标体系及流程的展示和分析，可以进一步明晰企业内部审计评价的内容和重点。当前，笔者所在的企业已经构建了现代企业架构，企业内部审计是石油企业面临的一个新的课题，只有积极探索，大胆实践，才能创造出适合石油企业实际情况的企业内部审计模式。研究认为审计资源和注意力要根据重要性向高风险领域倾斜，提升对企业降本增效和内部控制水平方面的审计力度，在实操中要重点防范重大风险，如企业招投标和合同管理等业务，将关口前移，进行实质符合性测试，必要时对相关风险点可进行穿行测试。在开展企业内部审计时，审计人员除了灵活地选择与审计项目相匹配的技术方法外，还应不断探索基于计算机技术的审计新途径、方法，做到无缝衔接，提高企业内部审计工作效率。这些原则方法的落实与应用，为实现在石油审计系统行业领先的目标打下了坚实的基础。

（三）改进审计技术，提升内部审计的规范性和高效性

企业内审机构在制订内部控制审计计划前，应通过座谈会、访谈、调查等审前调查方法，根据审前调查情况，拟定总体和详细的审计计划，确定审计重点，合理分配审计资源，而不能根据管理层意见，简单应付了事。审计手段要由单一转向多样转化，实际操作中应依据中国内审协会颁布的具体准则和规范，除了运用常规审计方法外，还应根据具体审计目标选择不同的方法。在进行风控审计时，企业内部审计侧重采用数量分析法、比较分析法和标杆法；在进行效率性审计时，侧重采用比较分析法、因素分析法和量本利法；在效果性审计时，侧重采用调查法、问题解析法和专题讨论会法等。企业内部审计部门在此基础上，不断开发和建立属于石油企业的内部审计标准程序和工作方法，改进审计技术，以实现内部审计实施过程的规范化。

四、结语

多年的审计实践证实，风险管理与内部控制密不可分。针对当前企业管理层对企业内部审计的重要性认识不足，企业内部审计评价指标体系不完善，审计计划和实施方法不完备的问题，本文提出一个中心、两项措施的改进思路和对策。一个中心指以加强宣传，保障内部控制审计的重要性和严肃性为中心，两项措施分别是健全评价体系，增强内部控制审计的科学性和有效性；改进审计技术，提升内部控制审计的规范性和效率。一个中心、两项措施的改进思路和对策，可为企业内部审计的持续改进和不断拓展提供思路，也可为企业内部风险的管控和良性发展保驾护航。